Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Comprender qué datos personales están presentes en los datos asociados a un incidente de seguridad es una parte fundamental de la investigación y la respuesta a las infracciones de datos. Después de un incidente de seguridad de datos, una de las tareas más lentas y de gran interés para los investigadores es determinar qué elementos de datos personales se han expuesto y si existen obligaciones de notificación normativa en marcos como el Reglamento general de protección de datos (RGPD), la Ley de portabilidad y responsabilidad de seguros de salud (HIPAA) o las leyes de privacidad de nivel estatal.
Por ejemplo, si detecta datos personales dentro de los datos afectados asociados a un incidente de seguridad de datos, puede evaluar rápidamente la posible exposición a la privacidad, admitir informes de cumplimiento y crear cadenas de pruebas defendibles desde la detección hasta la acción. También puede usar aprendizajes de investigación para informar sobre las decisiones de notificación normativa y fortalecer las prácticas de protección de datos de su organización.
Los exámenes de datos personales admiten escenarios comunes de investigación, entre los que se incluyen:
- Evaluación del impacto en la privacidad de la vulneración de datos: realice exámenes de datos personales en los archivos afectados para determinar rápidamente qué tipos de datos personales se han expuesto y qué personas podrían verse afectadas.
- Evidencia de cumplimiento normativo: genere resultados estructurados y auditables que muestren qué datos personales se encontraron, en qué archivos, en qué nivel de riesgo, con razonamientos generados por IA para admitir la notificación de infracciones.
- Investigación de riesgos internos: identifique los tipos y niveles de riesgo de los datos personales presentes en los datos asociados a actividades de usuario de riesgo, lo que ayuda a priorizar qué archivos requieren atención y corrección inmediatas.
- Respuesta a incidentes entre funciones: proporcione a los equipos de seguridad, legales y de privacidad un resumen compartido y procesable de la exposición de datos personales a la que todos los equipos pueden hacer referencia durante la respuesta a incidentes.
- Auditoría posterior al incidente: realice una revisión sistemática de los incidentes anteriores para asegurarse de que se ha contabilizado la exposición de datos personales, validando o complementando los esfuerzos de revisión manual anteriores.
Análisis de datos para datos personales
Complete los pasos siguientes para identificar los datos personales en los elementos incluidos en el ámbito de la investigación:
Importante
Antes de configurar los exámenes, prepare los datos para el análisis de inteligencia artificial.
- Vaya a Investigaciones de seguridad de datos en el portal de Microsoft Purview e inicie sesión con las credenciales de una cuenta de usuario asignada Investigaciones de seguridad de datos permisos.
- Seleccione Investigaciones en el panel de navegación izquierdo.
- Seleccione una investigación y, a continuación, seleccione Análisis en la barra de navegación.
- Use herramientas de categorización o búsqueda de vectores para identificar datos para el examen de datos personales.
- Seleccione uno o varios elementos y, a continuación, seleccione Examinar en la barra de comandos.
- En el cuadro de diálogo Examinar , escriba un nombre para el proceso de examen en el campo Nombre .
- Escriba una descripción para el proceso de examen en el campo Descripción .
- Seleccione Datos personales: identifique y extraiga la información de identificación personal en la evidencia seleccionada en el campo Elegir un área de enfoque .
- Seleccione Examinar para iniciar el análisis de IA.
Nota:
Las estimaciones de tiempo para completar el proceso se basan en la cantidad y el tamaño de los datos seleccionados. Para reducir el tiempo de procesamiento, filtre y excluya los datos que no son aplicables a la investigación.
Exámenes de datos personales
Una vez que la inteligencia artificial termine de procesar los elementos de datos seleccionados, puede revisar los exámenes de datos personales para identificar los detalles de datos personales de cada elemento.
Los exámenes de datos personales incluyen la siguiente información para cada elemento:
- Sujeto o título: el sujeto o el título del elemento de datos.
- Nivel de riesgo: los niveles de riesgo de todos los datos personales que se encuentran en el elemento. Los valores son Alto, Medio y Bajo.
- Contiene datos personales: indicación de si el elemento de datos contiene datos personales. Los valores son Sí o No.
- Tipo de datos personales: lista de tipos de datos personales que se encuentran en el elemento de datos. Para obtener más información, consulte Tipos de datos personales y clasificación de nivel de riesgo.
- Datos personales encontrados: lista de valores de datos personales extraídos del elemento de datos.
- Fragmento de código circundante: los valores de texto o cadena que rodean los detalles de los datos personales. Esta información ayuda a determinar el contexto en el que aparecen los datos personales en el elemento de datos.
- Proceso de pensamiento: un resumen del razonamiento sobre por qué se clasificaron los datos personales asociados al elemento y su justificación del nivel de riesgo.
- Errores: resumen de los errores de procesamiento detectados cuando se ejecuta el proceso de inteligencia artificial.
Tipos de datos personales y clasificación de nivel de riesgo
A cada búsqueda de datos personales se le asigna un nivel de riesgo en función del tipo de datos personales identificados. El nivel de riesgo le ayuda a priorizar qué hallazgos requieren atención y corrección inmediatas. En la tabla siguiente se incluyen ejemplos de tipos de datos personales para cada nivel de riesgo. Estos ejemplos no son una lista completa de todos los tipos de datos personales detectados por el examen.
| Nivel de riesgo | Tipos de datos personales de ejemplo | Description |
|---|---|---|
| Alto | SSN/National ID, números de cuenta bancaria, números de cuenta financiera, números de enrutamiento | Identificadores financieros y números de identificación emitidos por el gobierno que representan el mayor riesgo si se exponen. |
| Medio | Email direcciones, números de teléfono, fechas de nacimiento, números de registro médico, identificadores de seguro | Información de contacto que se puede usar para identificar o ponerse en contacto con las personas. |
| Baja | Nombres completos, direcciones, identificadores de dispositivo | Información de identificación general que presenta un menor riesgo cuando se expone individualmente. |
Nota:
Un solo elemento de datos puede contener varias instancias de datos personales de distintos tipos y niveles de riesgo. El proceso captura e informa individualmente de las instancias de datos personales.
Ejemplo de examen de datos personales
La salida del examen puede ser un resumen o una anotación para cada elemento identificado. El examen resalta los elementos de datos personales en el contenido que probablemente sean confidenciales.
Por ejemplo, el examen podría devolver en el archivo X, lo que parece 3 números del Seguro Social y 5 direcciones de correo electrónico se encontraron en un documento. O bien, para un correo electrónico, Email Y contiene una conversación en la que se compartieron los detalles de la cuenta bancaria. Este resumen le permite leer manualmente cada línea de cada elemento y le ayuda a evaluar el contenido de riesgo muy rápidamente. Este es un ejemplo de una salida de examen de datos personales para un elemento:
| Archivo | Cadena | Tipo | Nivel de riesgo | Análisis |
|---|---|---|---|---|
| EV-2.docx | 555-12-3456 | SSN/National ID | Alto | La cadena coincide con un patrón de número del Seguro Social (XXX-XX-XXXX) que se encuentra en una tabla denominada Registros de usuario. Está asociado a un nombre completo en la columna adyacente, confirmándolo como PII identificable. |
| EV-3.msg | user1@contoso.com | EmailAddress | Mediano | La dirección de correo electrónico aparece en el cuerpo del mensaje como destinatario de documentos financieros compartidos, lo que hace que sea contextualmente relevante para la investigación. |
Realice las siguientes acciones:
- Comprobar manualmente los detalles críticos: mientras el proceso de examen realiza la elevación pesada, compruebe manualmente las piezas más críticas. Si el proceso identifica un valor de datos personales específico en un documento, abra el documento para confirmar el contexto. Por ejemplo, el proceso podría identificar un número de Seguro Social en un archivo, pero al abrir el archivo, se comprueba que se encuentra en una tabla denominada Registros de usuario y no solo en el contenido como marcador de posición de ejemplo. Esta comprobación confirma que la búsqueda es accionable y le proporciona la información necesaria para actuar.
- Expandir el ámbito: en ocasiones, los exámenes revelan nuevas pistas que requieren la extracción de más datos. Por ejemplo, se detectan referencias a una cuenta de usuario o a un departamento que no ha buscado inicialmente. Considere otra búsqueda de la cuenta de usuario o el departamento para ver si hay elementos relacionados. Una búsqueda vectorial del nombre del departamento podría encontrar archivos relacionados que no mencionan explícitamente datos personales, pero que están relacionados con el incidente de seguridad.
- Conectar los resultados al plan de mitigación: después de revisar los resultados del examen de datos personales, agregue elementos de datos específicos al plan de mitigación para administrar y realizar un seguimiento del estado de mitigación de cada elemento. Este enfoque crea una cadena auditable desde la detección hasta la corrección.
- Tenga en cuenta las implicaciones normativas: la exposición de datos personales podría desencadenar obligaciones de notificación en virtud de las regulaciones de privacidad. Use los resultados del examen estructurado, incluidos los niveles de riesgo, los tipos de datos personales y el razonamiento generado por la inteligencia artificial, para respaldar los informes de cumplimiento y las decisiones de notificación normativa.